- 博客(47)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 yapi RCE漏洞复现
前段时间,公司打内部的攻防比赛,然后手里的工作比较忙,时间也比较短,于是就没怎么打。发现了一台主机3000端口开了yapi服务,且能在前台执行命令,但是就是弹不回来shell。有门进不去的感觉就很烦,心痒痒的就想在赛后复盘一下。于是就有这篇文章。贵有恒,何必三更起五更睡;最无益,只怕一日曝十寒。话不多说,搞快点。首先面向fofa搜索yapi的资产找到了个54.xxx的IP,就你了皮卡丘首先进去,发现注册账户功能是开放的,冲登录创建项目添加接口执行payloadcon
2021-08-23 15:45:37
1822
原创 CNVD-2021-14544 漏洞复现
大四的生活忙忙碌碌,在绿盟实习和忙毕设,让我划水A了半年,今天写一下最近申请零组文库邀请码,提交的复现文章叭.贵有恒何必三更眠五更起,最无益只怕一日曝十日寒话不多说,快上车。海康威视流媒体管理服务器任意文件读取(CNVD-2021-14544)1.漏洞说明海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。杭州海康威视系统技术有限公司流媒体管理服务器存在弱口令漏洞和任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。2.影响版本杭州海康威视数字技术股份有限公司 流媒体管理服务器 V2
2021-03-28 12:25:34
4504
原创 N12 DVWA DOM型XSS
一、概念DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用的document.baby.innerHtml等函数动态生成的Html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储性,也可能是反射型。二、Low级别1.代码审计可以看见,在后端并没有做任何处理。2.尝试测试前端只有选择四个选项块进行选择,我们点击select,发现上面的链接多了?default=English字段。这里对def
2020-08-26 16:18:29
260
原创 N11 DVWA 存储型XSS
一、Low级别1.代码审计这里我们可以看见message和name都使用的POST进行传递参数,但message使用了stripslashes(); 函数,该函数的功能是将反斜杠过滤。那么我们message不能完成script的闭合。但在name参数上,它直接将参数传递到数据库里。这意味着我们可以在name处找到一个存储型XSS注入点。2.尝试测试下面我们构建一个payload<script>alert("xss");</script>将payload输入对话框,发
2020-08-25 21:18:08
301
原创 N10 DVWA 反射型XSS
一、概念XSS,全称Cross Site Scripting,跨站脚本攻击。在页面中注入恶意的脚本代码,当受害者访问该页面是,恶意代码会在其浏览器上执行。XSS不仅仅限于JavaScript,还包含Flash等其他脚本语言。根据恶意代码是否存储在服务器上,XSS可以分为存储性的XSS和反射性的XSS。DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用的document.baby.innerHtml等函数动态生成的Html页面,如果这些函数在引用某些变量时没
2020-08-25 20:22:31
235
原创 N9 DVWA Weak Session IDs(弱会话IDS)
一、概念密码与证书等认证手段,一般仅仅用于登录(Login) 的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时都再使用密码认证一次。因此,当认证完成后。就需要替换一个对用户透明的凭证。这个凭证就是SessionID。当用户登陆完成后,在服务器端就会创建一个新的会话(Session)会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Ses
2020-08-25 16:28:05
272
原创 N8 DVWA SQL Injection (Blind) SQL注入(盲注)
一、概念由于服务器在后端对请求的返回结果进行了截断处理,我们不能直截了当的看见服务器反馈的各种信息。所以,我们通过页面是否能成功返回,返回过程是否有延迟等间接的反馈来达到SQL注入的目的。盲注分类:基于时间型、基于布尔型。二、Low级别1.代码审计我们可以看见,这里后端将参数直接传递到SQL查询语句中,并未做任何处理。在下面将系统的反馈信息修改为两段话。这让我们无法直接看到详细的参数。2.尝试测试下面我们使用sqlmap进行测试。首先使用Burpsuite抓取提交的数据报文。将数据报
2020-08-21 15:11:52
249
原创 N7 DVWA SQL Injection(SQL注入)
一、概念SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。形成SQL注入漏洞的原因:1.用户输入不可控2.输入内容被带入SQL语句执行。通过SQL注入可以对程序对应的数据存储区进行对应的探测。二、Low级别1.代码审计Low级别的代码,我们可以看出,该段代码将用户输入的数据之间带入SQL查询语句中,中间未做任何处理。2.尝试测试我们通过正常输入1、2,查看反馈SELECT first_name, last_
2020-08-19 20:01:24
184
原创 N6 DVWA File Upload(文件上传)
一、概念文件上传漏洞,通常是由于对上传文件的类型,内容没有进行严格的过滤、检查,是的可以通过上传webshell获取服务器权限,因此文件上传漏洞带来的危害常常是毁灭性的。二、Low级别basename(path,suffix)返回path中的文件名部分,如果可选参数suffix为空,则返回文件名包含后缀名,反之不包含后缀名。拼接路径即可访问成功。三、medium级别if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image
2020-08-17 15:27:46
223
原创 N5 DVWA File Inclusion(文件包含)
一、概念文件包含指服务器开启allow_url_include选项时。可以通过php的某些特性函数。include()、require()、include_once()、require_once()。利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或任意命令执行。文件包含漏洞分为:本地文件包含漏洞、远程文件包含漏洞(开启了PHP配置中的allow_url_fopen选项,服务器运行包含一个远程文件)二、Low级别1.代码审计2.本地文件包含读取敏感文件http:
2020-08-17 14:58:03
209
原创 N4 DVWA CSRF(跨站请求伪造)
一、概念CSRF是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或访问包含攻击代码的页面,在受害者不知情的情况下以受害者身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别在于,CSRF没有盗取cookie,而是直接利用。二、Low级别1.代码审计我们可以看见,Low级别的代码,只进行了两次密码比对,如果成功就直接修改。2.漏洞测试我们首先进行一次正常的修改密码访问我们可以看到地址栏变为了如下的内容
2020-08-17 11:03:45
212
原创 TCP/IP协议
一、TCP数据被封装在一个IP数据包里。二、TCP报文格式1.16位源/目的端口号每一个TCP段都包含源端口号和目的端口号:用于寻找发送端和接收端应用进程。源端口号、目的端口号加上IP数据包首部的源IP地址、目的IP地址,共同确定唯一的一个TCP连接。2.32位序号序号用来表示从TCP发送端向TCP接收端发送的数据字节流,它表示在这个报文段中的第一个数据字节。序号是32bit的无符号数,达到2^32-1后又从0开始。序号字段包含由这个主机选择的该连接的初始序号ISN。该主机要发送数据的第一个字
2020-08-17 08:22:06
349
原创 N3 DVWA Command Injection(命令注入)
一.基础知识1.ping命令ping ip地址 :测试该ip是否在线ping -n 2 ip地址:Windows系统,发送两次ping包命令。ping -c 2 ip地址:Linux系统,发送两次ping包命令。ping 127.0.0.1 :测试本地tcp/ip服务是否正常工作2.ipconfig命令ipconfig:Windows系统查看本机ip的命令ifconfig:Linux系统查看本机ip的命令3.net usernet user 用户名 密码 /add :Windows系统添
2020-08-14 10:47:20
529
原创 N2 DVWA Brute Force(暴力破解)
上一讲,我们已经成功的将DVWA安装到了我们的服务器上。通过外部主机也能够成功访问DVWA。那么今天,猴子君学习了Brute Force部分,下面是猴子君的演示过程。前期准备一、Low级别1.我们点击DVWA的安全配置选项,选择low级别,点击submit进行设置。2.点击进入Brute Force3.这个时候,我们需要用到我们的Burpsuite工具。在安全圈摸爬滚打许久的童鞋们应该人手一个Burpsuite。如果没有的话,kali系统中自带Burpsuite可供使用。打开Burpsu
2020-08-13 19:11:45
359
原创 N1 DVWA的安装
大家好,今天猴子君开始了DVWA的学习旅程。学习第一步,安装先上路。首选,我们选择phpstudy这个集成环境来搭建我们的DVWA网站。一、前期准备1.windows server 2008虚拟机一台2.phpstudy软件3.DVWA网站源码二、安装phpstudy1.下载phpstudy百度搜索phpstudy,点击www.phpstudy.net网站选择往期的版本会更稳定一些这里猴子君选择的是2018版本,大家可以根据自己的系统进行相应的选择。2.安装phpstudy打
2020-08-12 21:23:28
220
原创 windows搭建dhcp/dns/iis服务器并模拟运行
贵有恒何必三更眠五更起,最无益只怕一日曝十日寒。话不多说搞快点。这里猴子君用了三台虚拟机:A机:service2008-DHCP服务器B机:service2003-DNS服务器C机:service2003-IIS服务器D机:用户机1.首先设置NAT选项2.将三台机器进行组网,选择NAT模式进行连接。将三台机器都设置为NAT模式,我们就可以开始搞啦。配置DHCP服务器3.设置DHCP服务器添加DHCP角色这个时候发现,我们需要一个静态IP4.配置静态IP地址。配置
2020-07-09 17:45:07
1999
原创 MSF学习笔记
贵有恒何必三更眠五更起,最无益只怕一日曝十日寒话不多说,上干货。MSF主要模块渗透模块(exploit):运行时会利用目标主机漏洞进行攻击。攻击载荷模块(payload):在成功对目标完成一次渗透之后,这段程序开始在目标主机上运行,帮助我们获取需要的访问和行动权限。辅助模块(auxiliary):包含一系列辅助支持模块,包括扫描模块、fuzz测试漏洞发掘模块、网络协议欺骗以及其他一些模块。编码器模块(encoder):通常用来对我们的攻击模块进行代码混淆,来逃过目标的安全保护机制的检测。目标的安
2020-06-21 17:10:13
837
原创 N3 Web常用编码学习笔记
Web使用过程常见编码有:URL编码Unicode编码HTML编码Base64编码1.1 URL编码规则url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。不管哪种情况,在服务器端的表单输入格式样子象这样:theName=Ichabod+Crane&gender=male&status=missing& ;he
2020-06-09 11:14:46
355
原创 N2 HTTP协议用户身份认证学习笔记
HTTP1.1使用的认证方式:1.BASIC 认证(基本认证)2.DIGEST 认证(摘要认证)3.SSL 客户端认证4.FormBase 认证(基于表单认证)1.1 BASIC认证原理使用HTTP协议通信时,针对身份认证环节,HTTP协议定义了基本认证过程,允许HTTP服务器对WEB浏览器进行用户身份认证。客户端向HTTP服务器发出请求时,如客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示
2020-06-09 10:28:53
508
原创 N1 HTTP请求响应报文笔记
概述Web浏览器,服务器和相关的Web应用程序都是通过HTTP进行相互通信的。HTTP是现代全球因特网中使用的公共语音。(嗯,就像全世界都学东北话。手动滑稽)。HTTP(HyperText Transfer Protocol,超文本传输协议) 是访问万维网使用的核心协议,也是我们日常看各种网页时由浏览器向Web服务器发送的资源请求。HTTP是使用有状态的TCP协议作为它的传输机制,但每次的请...
2020-03-25 17:47:56
1819
原创 代码审计 N6 XDebug的配置和使用
Xdebug是一个开放源代码的PHP程序调试器,可以用来跟踪,调试和分析PHP程序的运行状况。一、主要配置1.日志xdebug.trace_output_dir //日志追踪输出目录xdebug.trace_output_name //日志文件名xdebug.trace_options //记录添加到文件中的方式:1=追加(如果存在该文件...
2019-07-27 15:20:00
234
原创 代码审计 N5 常见危险函数和特殊函数(二)
一、特殊函数-变量覆盖变量覆盖型,将字符串转换成变量,并设置到当前域。二、特殊函数-列目录及无参数获取信息等glob()函数依照libc glob()函数使用的规则寻找所有与pattern匹配的文件路径,类似一般shells所用的规则一样。不进行缩写扩展或参数替代。以上的函数会返回文件路径,数组函数等敏感函数信息。 ...
2019-07-27 14:40:00
126
1原创 N3-常见的INI配置
一、配置文件php.ini在PHP启动时被读取。对于服务器模块版本的PHP,仅在Web服务器启动时读取一次。对CGI个CLI版本,每次调用都会读取。Apache的.htaccess文件此类文件仅被CGI/FastCGI SAPI处理。二、语法设置指令的格式如下:directive = value (directive指令大小写敏感)三、常见重要...
2019-07-19 14:29:00
177
原创 N2-审计方法与步骤
一、基础准备1.获得源码大部分PHP程序都是开源的、找到官网下载最新的源码包即可。2.安装网站在本地搭建网站,一边审计一边调试。实时跟踪各种动态变化。二、把握大局1.网站结构浏览源码文件夹,了解该程序大致目录。2.入口文件index.php、admin.php文件一般是整个程序的入口,详细读一下index文件可以知道程序的架构、运行流畅、包含哪些配置文件,...
2019-07-19 13:38:00
310
原创 N1-环境配置
代码审计需要准备以下工具:1.PHPStudyPHP的集成环境,可以节省安装Apache、Tomcat、MySQL等的步骤,对新手来说,用PHPStudy安装PHP运行环境是不错的选择。2.Sublime Text 3部分插件Sublime Text 3:PHP代码编辑软件插件:CTags:为函数建立索引的插件phpfmt:PHP代码格式规范化...
2019-07-18 21:07:00
240
原创 N1 技术心得 2019-6-26
技术心得一、安全设备防护的理解1.从事安全行业,为企业进行防护,必然是不可缺少防火墙的。Web应用防火墙,简称WAF。这种防火墙只针对Web应用进行防护,是处在应用层的防火墙。而在应用层之下,进行系统性的防护,不仅仅需要网络层防火墙的防护,还需要入侵检测技术IDS和入侵防御技术IPS进行支撑。2.WAF有多种连接方式。通常使用的是串联的代理部署方式,串联使...
2019-06-26 22:34:00
203
原创 N2-防火墙应用和发展趋势
一、防火墙的部署方式 方式1:透明模式(桥模式) 防火墙设备提供两个接口,一个进、一个出。用户连接到防火墙,向公网发送数据包,经过防火墙到达目标服务器。防火墙只提供检测五元组的功能。内外网访问透明,可直接观测发送接收双方真实的IP地址。 优点:直接串联到链路上...
2019-06-23 01:38:03
232
原创 N1-防火墙的工作原理
一.网络防火墙的作用: 1. 在内网和外网之间搭建一个防火墙,用来防止外部黑客或者用户不希望的用户对内网服务进行访问。 2. 在内网中,重要、敏感信息资源和内网之间搭建一个防火墙,对内网中用户进行访问权限控制。避免无权访问的人员随意进行访问。 3. 可以对内网中的主机外连进行控制,限制内网主机访问不希望访问的网站,例如暴力、色情网站...
2019-06-23 01:27:17
636
原创 N14-关于pikachu的漏洞生成问题
sql注入部分的漏洞,核心问题就是将用户输入的所有内容直接拼接到数据库上,导致数据库误以为正确指令,进行操作。进而渗透成功。拼接在数据库查询语句之前,在后台应该进行一定的操作,将用户的数据与sql数据库的指令相区别,提前做好判别,就可以避免很多的安全问题。同时sql数据库反馈的信息也应该进行筛选,回避掉错误进行,让渗透的成本进一步提高。盲注方面也是因为sql自带的一定的反馈信息,导致用户端可以间...
2019-04-14 22:31:04
445
原创 N3-nmap安装方法
首先打开浏览器输入nmap.org,进入nmap官网。点击download。选择对应系统的文件,这里猴子君选择的是Windows版本的下载完成,打开安装文件安装,安装,安装!!!这样,nmap就安装好啦!...
2019-04-14 22:16:21
452
原创 N13-sqli盲注 基于时间型
打开pikachu测试平台,sqli base on time 章节。先输入一个’ 尝试一下,发现反馈不报错。输入kobe,发现反馈信息不变打开浏览器的开发者工具,控制台,选择网络输入 kobe’ and Sleep(5) #,发现延迟5秒发送。输入错误信息,发现Sleep语句不执行。这样我们就可以写一个判断kobe’ and if((substr(database(),1,1...
2019-04-08 18:45:22
288
原创 N12-sql盲注原理以及boolean盲注案例实现
打开pikachu测试平台,选择sql盲注boolian章节先输入’ 测试一下反馈信息。输入一个之前注册的真实信息发现回馈正确信息,输入kobe’ and 1=1# 发现反馈仍然为正确信息将1=1改成1=2,错误的值,发现报错。所以,我们可以从and 1=1判断真假来做工作了,输入之前基于报错的字符kobe’ and ascii(substr(database(),1,1))&...
2019-04-08 18:25:24
526
原创 N2-sqlmap初使用
首先安装python2.7,将sqlmap文件夹添加到python2.7的根目录创建快捷方式,安装sqlmap。详情可以百度。打开sqlmap,输入python sqlmap.py -h.检测注入点是否可用C:\Python27\sqlmap>python sqlmap.py -u “网址”一条命令即可曝出该sqlserver中所有数据库名称,命令如下:C:\Python...
2019-04-08 18:01:25
259
原创 N11-sql注入(http头注入)
打开pikachu登录打开burpsuite将包发到repeater。将user改成’ 发现sql语句报错,说明是拼接到数据库的这样,我们就可以创造闭合语句了admin’ and updatexml(1,concat(ox7e,database()),0)#可以看见,结果显示出来了,http头注入成功!...
2019-04-01 11:43:16
789
原创 N10-sql注入(information_schema注入)
同样采用union的联合语句,去查询数据库默认创建的Information_schema的数据库,这个数据库是记录数据库所有参数数据的。所以,我们可以尝试使用字符型注入的闭合语句去查询。首先输入一个’,发现返回的是错误语句,说明我们输入的内容是拼接到数据库里的。然后重复字符型和union章节的操作,我们可以查询到很多关于网站数据库的信息,包括数据库名等。然后我来看这条例句:SELECT...
2019-04-01 10:57:13
1624
原创 N9-SQL注入(union注入)
今天猴子君要向大家介绍的是SQL注入的union章节。首先打开pikachu渗透测试平台。找到sql字符型注入的章节。union语句为数据库联合语句,用法如下:SELECT 字段1,字段2 from 表名 where 条件 union SELECT 字段1,字段2 from 表名 where 条件而union联合字段后面的查询字段的个数要与前面的字段个数相同,所以我们可以使用 ...
2019-04-01 10:35:30
855
原创 N8-SQL注入关于搜索型以及xx型的一些话
搜索型数据库语句SELECT 字段1,字段2 FROM 表名 WHERE username LIKE ‘%?%’;所以将?部分创造为一个闭合的真值就可以将所有数据注入出来。例 Kobe%’ or 1=1 ; # 这样就创造出来SELECT 字段 FROM 表名 WHERE username LIKE ‘%Kobe%’ or 1=1 ...
2019-04-01 09:00:20
510
原创 N7-SQL注入(字符型)
今天要和大家分享的,是SQL注入的字符型部分。原理很简单,依然是依靠创造SQL语句的闭合,来实现将所有的数据全部copy出来。首先打开pikachu测试平台的SQL-inject的字符型注入(get)章节。首先尝试输入一个错误的名字,发现返回不存在。然后可以输入一下正确的名字,可以看出,返回了正确名字的id等信息。我们可以尝试以下数字型的 1 or 1=1’;#的语句,发现返回用户名...
2019-03-31 20:18:44
986
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人